ifun.de — Apple News seit 2001. 26 910 Artikel
Datenbank falsch konfiguriert

Adobe-Fehler: Creative-Cloud-Daten von 7,5 Millionen Nutzern im Netz

60 Kommentare 60

Adobe hatte Daten von mehr als sieben Millionen Creative-Cloud-Kunden ungeschützt im Internet liegen. Sicherheitsforscher haben eine Datenbank des Softwarekonzerns mit knapp 7,5 Millionen Einträgen gefunden, die für „jedermann mit einem Webbrowser“ frei zugänglich war.

Adobe Creative Cloud

Konkret hat Adobe demnach eine mit der Open-Source-Suchmaschine Elasticsearch kompatible Datenbank ohne Passwortschutz online gestellt, in der umfangreiche persönliche Daten von Creative-Cloud-Kunden gespeichert waren. So konnte man neben den E-Mail-Adressen auch das Datum der Kontenerstellung, den Status von Abo und Bezahlungen, die Nutzerkennung, Herkunftsland und die seit der letzten Anmeldung vergangene Zeit abrufen, zudem war ersichtlich, welche Adobe-Produkte verwendet werden.

Wenngleich weder Passwörter noch Informationen zu verwendeten Zahlungsmitteln enthalten waren, könnten die offengelegten Daten von Kriminellen für Phishing-Aktionen verwendet werden. Creative-Cloud-Kunden sollten daher zukünftig besonders kritisch auf vermeintliche Adobe-E-Mails uns sonstige Kontaktaufnahmen reagieren. Zahlenmäßig scheint rund die Hälfte aller Creative-Cloud-Konten betroffen, zuletzt machte die Zahl von insgesamt 15 Millionen Kunden die Runde.

Adobe hat den Sachverhalt mittlerweile bestätigt:

Bei Adobe legen wir Wert auf Transparenz gegenüber unseren Kunden. Aus diesem Grund wollten wir die folgenden Sicherheitsinformationen mit ihnen teilen.
Ende letzter Woche wurde Adobe auf eine Schwachstelle im Zusammenhang mit der Arbeit an einer unserer Prototyp-Umgebungen aufmerksam. Wir haben die falsch konfigurierte Umgebung umgehend aus geschaltet und beheben die Schwachstelle.
Die Umgebung enthielt Kundeninformationen von Creative Cloud, einschließlich E-Mail-Adressen, enthielt jedoch keine Passwörter oder Finanzinformationen. Dieses Problem stand in keinem Zusammenhang mit dem Betrieb von Kernprodukten oder -dienstleistungen von Adobe und hatte auch keine Auswirkungen darauf.
Wir überprüfen unsere Entwicklungsprozesse, um zu verhindern, dass in Zukunft ein ähnliches Problem auftritt.

Sonntag, 27. Okt 2019, 10:07 Uhr — Chris
60 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Dafür zahlt die Masse Dich gerne Abo-Gebühren…

  • Na toll… lieber erstmal PW ändern. Aber dennoch völlig unverständlich. Denken die Leite nicht mehr nach?!

  • Zeit darüber nachzudenken meine Adobe ID zu löschen. Habe eh seit 2 Jahren kein Abo mehr. Aber halt, dass ist ja recht kompliziert bei Adobe, es gibt dazu keinerlei Infos auf Adobe Webseiten. Man muss den deutschsprachigen Online Chat, erreichbar, Montag bis Freitag 09:00–16:45 Uhr, kontaktieren und sein Anliegen dort vortragen. Oder halt gut Englisch können. Werde das Morgen mal ausprobieren, bin schon auf die blöden Fragen des Hotline Mitarbeiters gespannt

  • Ich verstehe nicht wie nach all den Daten Skandalen der letzten Jahre, es immer noch sein kann das bei so großen Firmen Daten überhaupt irgendwo unverschlüsselt liegen.

    • Die verschlüsselte Ablage schützt hier nicht, da zur Verarbeitung die Daten entschlüsselt sein müssen.

    • Die Lass-uns-schnell-mal-alles-teilen-Welt mit ihren Clouds, SharePunkte und EinDrive wird immer unübersichtlicher.
      Gib rasch was frei und vergiss, wer alles Zugang bekommt oder der Externe legt was für den Freigebenden in den Ordner, ohne dass er weiss, wer sonst noch Zugriff hat.

    • Zumal erst vor wenigen Jahren bei Adobe alle Accounts geleakt wurden. Da scheint intern überhaupt nichts passiert zu sein, kein Verständnis, keine Sicherheitsbarrieren, keine regelmäßigen Schulungen, keine technischen Lösungen … Einfach nur krass!

      • Adobe hat doch geschrieben, dass sie für alle transparent sein wollen, das haben sie doch damit geschafft.

  • Einfach mal ne Anfrage nach DSGVO stellen und schauen was sie sagen wem sie die Daten zugänglich gemacht haben :)

  • Warum werden solche Firmen abgemahnt und bestraft? Für mich liest sich das wie ein „ups, shit happens…egal, machen wir weiterhin so.“ Wenn ich an deren AGBs halten soll und dafür auch noch zahle, sollen die das gefälligst auch tun, ansonsten müssen wir über Entschädigungen reden. Das geht so nicht weiter!!! Jeder Mittelständer der sich nicht exakt an die DSGVO hält wird bestraft, aber die Großen a la Google, Apple, Amazon, Adobe, Facebook & Co dürfen sich unsere Daten zuschmeißen wie sie lustig sind. Und am Ende war alles nur ein großes Missverständnis.

    • Hätte uns doch nur jemand davor gewarnt!!1! Oh wait… es stellt sich tatsächlich die Frage ob diese „Datenpanne“ Konsequenzen, zumindest in der EU, für Adobe hat. Ansonsten können wir das mit der DSGVO auch einfach bleiben lassen.

      • Wo kein Kläger …

      • Da braucht es keinen Kläger. So ein Vorfall ist in jedem Fall eine meldepflichtige Datenpanne. Und wenn Adobe die nicht meldet, muss die Aufsichtsbehörde von sich aus tätig werden. Und das wird bei einem derartigen Umfang mit Sicherheit passieren.

      • Ich hoffe, dass da etwas passiert.
        Würde gerne auch über die Konsequenzen bzw. die Strafe lesen.

      • @clausimausi
        Die Konsequenz wird sein, dass die Abopreise steigen und der Kunde bestraft sein wird.

        So einfach funktioniert das bei Monopolen.
        Und ja, Adobe hat ein Monopol bzw. ein Universum geschaffen, aus dem vielleicht „kleine“ Anwender ausbrechen, aber je mehr Dienstleistungen etc. man von Adobe einsetzt, umso weniger kommt man davon los. Siehe Apple.

    • nein, 2013 hatte Adobe diesbezüglich schon mal ein großes Datenleck und ich werde seither mit diversen Spam Mails „beglückt“. Daher auch der Wunsch die ID jetzt endgültig zu löschen. Dann bin ich beim nächsten mal wenigstens nicht mehr betroffen

  • Liebend gerne würde ich weg vom Abo – und auf Affinity umsteigen. Aber: was ist meinen unzähligen InDesign Dokumenten, die ich vllt. in ein paar Jahren mal wieder hervorkramen muss? Wie schaut da ein praktischer Workflow aus (sofern es einen gibt)? Die Tage hatte ich einen Bericht gelesen, in dem ein aktueller Umstieg auf A. Publisher im Pro-Bereich abgeraten wurde.

    • Affinity hat noch genügend Bugs.

      Und was noch mehr nervt: man sucht sich Tod, weil man die Adobe Handgriffe 20 Jahre lang geübt hat und jetzt nichts mehr am alten Platz ist.

      Ja, kann man alles lernen. Aber hat man die Zeit dafür ? Und den Willen ? Ich war früher Pro User. Heute brauche ich Adobe Produkte vielleicht 2 Stunden im Quartal. Dafür die volle Suite dauerhaft als Privatperson bezahlen ? Und ab Catalina läuft nichts mehr ohne das Abo… ich könnte kotzen.

    • Das mit Indesign ist in der Tat ein Problem. Wir haben allerdings im Vorfeld die wichtigsten Dokumente als PDF exportiert, diese lassen sich mit Publisher in nahezu 90% unserer Fälle sehr gut bearbeiten. Ansonsten sind wir super zufrieden mit der Performance und auch mit dem massiv gesparten Geld. An die eingeübten Shortcuts haben wir uns recht schnell gewöhnt auch wenn ich heute noch ab und an gewisse Funktionen suchen muss. Witzigerweise sind manche Dinge viel einfacher als in den Adobe Programmen. Kurz zum Hintergrund: wir arbeiten als Agentur mit sechs Arbeitsplätzen seit August ausschließlich mit Affinity und sind wirklich zufrieden.

      • Vielleicht solltet ihr über Eure Erfahrungen beim Umstieg zB hier berichten. Ich denke, dass dieses Thema viele interessiert und auch gerne umsteigen wollen.

  • Ist schon das zweite Mal das meine Daten von Adobe frei im Netz standen. Beim ersten Mal wurde meine Adresse bereits für Span mißbraucht. Unglaublicher Saftladen!

  • Sofort kündigen. Geld kassieren und Datenschutz gleicht einem … Vorbild…

  • Ist halt schlecht, wenn man sich nur unqualifizierte Billigkräfte einstellt!!
    Armselig, Adobe!!

  • Ich glaube nicht mehr an einen „Zufall“.

  • Daten gehören nicht in eine Cloud, Es gibt keine Sicherheit, nirgens

    • Und doch verwenden zig Millionen Benutzer Google Dienste und senden Fotos, Kalendereinträge Dokumente und Kalkulationen in die cloud, benutzen WhatsApp und Facebook und ein kleiner Teil davon ist sich dessen nicht mal bewusst. Und fast immer gäbe es Alternativen (Threma, Signal, Liberoffice, Affinity, usw). Aber umsteigen/umlernen ist ja soo schwer!

    • Als ob die Daten on-premise sicherer wären… Die Cloud ist viel sicherer als das, was die meisten Unternehmen in ihren eigenen Rechenzentren betreiben.

      Am besten schaut man sich nicht an, wie bei der öffentlichen Verwaltung sensible Daten verarbeitet werden.

    • Als ich einmal in den 2011er Jahren in einem Forum solche Szenarien der Cloud Beschrieben hatte wurde ich nahezu vertrieben. Jetzt heisst es nur noch „die Geister die ich rief“..

  • Habe mehrere Benutzer – Konten vor einer Woche gelöscht. Nicht abgemeldet, sondern gelöscht.
    Adobe war da noch mit am einfachsten.
    Wird immer wieder passieren, das Daten frei rumliegend bereitstehen zum abgriff.
    Das muß einem klar sein ,dass es nur erschwert werden kann, aber nicht vermeidbar ist.
    In diesem Fall wohl eher grobe Fahrlässigkeit.

    Gibt wirklich eine Menge Apps ,welche nach Erstellung eines Benutzer – Kontos, bei der Löschung selbigen Kontos die Suche losgeht.

    Habe gerade free now (ehemals my taxi) am Wickel.
    Geht wahrscheinlich wieder nur per Email-Kundenservice.
    Auch so eine…erst Anmeldung,
    dann gucken und probieren.
    War nicht mein Ding, aber meine Daten gespeichert.
    Nun löschen suchen… Scheibenkleister…

    Benutze jetzt Taxi .eu…
    Empfehlenswert…

    Finde das da mal eine grundlegende Vereinheitlichung hingehört.
    Das App-Anbieter, welche lediglich per Anmeldung nutzbar sind, sich verpflichten müssen ,innerhalb der App das löschen des Benutzer – Kontos anzubieten.
    Und zwar deutlich !!!

  • Bitte alle auf Affinity umsteigen ;-)

  • Ups kann ja mal passieren
    Das ist schon oft genug passiert, warum machen es große Firmen immer noch ?
    Ich denke da steckt was anderes hinter, gegen ein bisschen Geld werden die Kundendaten mal für einen Tag veröffentlicht. Dann wird sich entschuldigt und auf der anderen Seite kassiert

  • Zum Glück nur ’nen Fake-Account.

  • Sehr interessant was hier für Halbwissen verbreitet wird und vor allem wie sich einige zu Dingen äußern die im Kern nichts mit dieser Thematik am Hut haben, nur weil sie aus anderen Gründen verärgert über Adobe sind.
    1. Es wurde mal wieder die Elastic Search falsch konfiguriert. Wer oder was ist das. Google hilft.
    2. Der Vorfall mit Adobe erscheint gleich recht klein und „harmlos“, wenn man gesehen hat was die falsch konfigurierte Elastic Search in den letzten Monaten angerichtet hat. Stichwort Ecuador und Brasilien. Hier wurden Datenbanken mit haufenweise sehr sensiblen Daten über praktisch jeden Einwohner geleakt.
    3. Solange die Bürger sich selbst nicht äußerst disziplinär an Sicherheitsbasics halten und diese umsetzen. Und solange nicht der Großteil der Menschheit ein BEWUSSTSEIN für die Technik und Sicherheit entwickelt wird sowas gehäuft auftreten.
    In diesen Firmen arbeiten auch nur Menschen, welche an ihrer Arbeit exakt gleich diszipliniert mit dieser Thematik umgehen wie ihr. Deshalb die Frage an die zahllosen Kommentierer von oben: Haltet ihr euch selbst an die Basics oder ist es leichter auf die anderen zu zeigen?

    • Vielen Dank für die Infos. Interessant.

      Was das Bewusstsein bzw. Basics betrifft, gehört das in erster Linie zum Anbieter, der dafür zu sorgen hat, dass die ihm anvertrauten Daten nicht von unberechtigter Seite eingesehen werden können.

      Jeder Hersteller hat dafür zu sorgen, dass der unbedarfteste Anwender mit/wegen seinem Produkt keinen Schaden erleidet. Und wenn es nur eine Sicherung ist, die zuerst entriegelt werden muss. Ebenso mit Daten, die ein Anbieter sammelt.

      In diesem Fall reden wir nicht von Laien, die ein komplexes System konfigurieren müssen, sondern von Profis, die wissen sollten, was sie tun. Deshalb bin ich da anerer Meinung, als du.
      Ja, Fehler passieren. Aber die (SW-)Hersteller schaffen so verschachtelte Systeme, dass nicht mal sie selber mehr durchschauen. Und das fliegt ihnen um die Ohren. Und es wird immer öfters und schneller solches passieren. Aber es ist ihnen egal. Und das ist gefährlich.

      Aber eben, die Welt ist ja nun mal so und wir haben das hinzunehmen und zu zahlen – hmm?

  • Wie ist das eigentlich rechtlich? Ich habe denen ja meine emailadresse vertraulich gegeben. Nun wurde diese öffentlich gemacht. Wenn ich nachweislich nun dadurch Spam bekomme, könnte man Schadenersatz gültig machen? Einmal auf den Spamlisten drauf kommt man nicht mehr runter.

  • „Bei Adobe legen wir Wert auf Transparenz“ <- das haben sie bewiesen

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 26910 Artikel in den vergangenen 6601 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2019 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven